MFA 重置后使用被盗凭据登录 Okta 帐户
编辑MFA 重置后使用被盗凭据登录 Okta 帐户
编辑检测 Windows 主机上的一系列可疑活动,这些活动表明凭据被盗,随后尝试破坏 Okta 用户帐户的多因素身份验证 (MFA) 和单点登录 (SSO) 机制。
规则类型: eql
规则索引:
- filebeat-*
- logs-okta*
- .alerts-security.*
- logs-endpoint.events.*
严重性: 高
风险评分: 73
运行频率: 6 小时
搜索索引时间范围: now-12h (日期数学格式,另见 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
- https://developer.okta.com/docs/reference/api/system-log/
- https://developer.okta.com/docs/reference/api/event-types/
- https://elastic.ac.cn/security-labs/testing-okta-visibility-and-detection-dorothy
- https://sec.okta.com/articles/2023/08/cross-tenant-impersonation-prevention-and-detection
- https://elastic.ac.cn/security-labs/monitoring-okta-threats-with-elastic-security
- https://elastic.ac.cn/security-labs/starter-guide-to-understanding-okta
标签:
- 策略:持久性
- 用例:身份和访问审计
- 数据源:Okta
- 数据源:Elastic Defend
- 规则类型:高阶规则
- 领域:端点
- 领域:云
版本: 3
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查 MFA 重置后使用被盗凭据登录 Okta 帐户
此规则检测 Windows 主机上的一系列可疑活动,这些活动表明凭据被盗,随后尝试破坏 Okta 用户帐户的多因素身份验证 (MFA) 和单点登录 (SSO) 机制。
通常,攻击者最初会通过各种手段从目标端点提取凭据。随后,利用社会工程技术,他们可能会试图重置与 Okta 帐户关联的 MFA 凭据,尤其是在 Active Directory (AD) 服务与 Okta 集成的场景中。成功重置 MFA 允许使用被盗凭据未经授权地访问受损的 Okta 帐户。然后,攻击者可以为 MFA 注册他们自己的设备,从而为不受限制地访问用户的 Okta 帐户和任何关联的 SaaS 应用程序铺平道路。如果受损帐户具有管理员权限,则尤其令人担忧,因为它可能导致广泛访问组织资源和配置。
可能的调查步骤
- 通过检查
user.name字段来识别与 Okta 登录尝试关联的用户帐户。 - 通过检查警报文档中的
host.name和host.id字段来识别此用户的凭据访问警报的端点。 - 交叉检查 Okta 用户和端点用户以确认他们是同一人。
- 联系用户以确认他们是否最近故意重置了他们的 MFA 凭据或请求了帮助。
- 如果用户不知道 MFA 重置,则可能需要立即进行事件响应以防止进一步的损害。
误报分析
- Windows 管理员可能在合法的管理操作期间触发了低保真度凭据访问警报。在此之后,管理员可能已为自己重置了 MFA 凭据,然后登录到 Okta 控制台以进行 AD 目录服务集成管理。
响应和补救
- 如果确认用户没有故意重置其 MFA 因素,请停用用户帐户。
- 停用后,重置用户的密码和 MFA 因素以重新控制帐户。
- 确保在此过程中停止所有用户会话。
- 如果 Okta 没有同步回 AD,请立即重置用户的 AD 密码。
- 可能需要对用户的端点进行取证分析,以确定问题的根本原因并识别问题的范围。
- 查看 Okta 系统日志以识别与用户帐户关联的任何其他可疑活动,例如创建备份帐户。
- 使用从 MFA 因素重置中捕获的设备 ID,在所有 Okta 日志中搜索与设备 ID 关联的任何其他活动。
设置
设置
编辑此规则需要 Okta 和 Elastic Defend 集群集成结构化数据才能兼容。此规则还需要 Okta 与 AD 同步的目录服务集成,因为它依赖于对来自 Okta 和 Elastic Defend 事件的 user.name 进行分类。
规则查询
编辑sequence by user.name with maxspan=12h
[any where host.os.type == "windows" and signal.rule.threat.tactic.name == "Credential Access"]
[any where event.dataset == "okta.system" and okta.event_type == "user.mfa.factor.update"]
[any where event.dataset == "okta.system" and okta.event_type: ("user.session.start", "user.authentication*")]
框架: MITRE ATT&CKTM
-
策略
- 名称:持久性
- ID:TA0003
- 参考网址:https://attack.mitre.org/tactics/TA0003/
-
技术
- 名称:修改身份验证过程
- ID:T1556
- 参考网址:https://attack.mitre.org/techniques/T1556/
-
子技术
- 名称:多因素身份验证
- ID:T1556.006
- 参考网址:https://attack.mitre.org/techniques/T1556/006/